Bescherming tegen cybercrime – stap 3
Elke voetbalcoach weet dat goede spelers niet voldoende zijn: een team gaat pas winnen als de organisatie klopt. Dat geldt ook voor de strijd tegen cybercriminelen! In deze blog kijken wij dus hoe je het cybercriminelen lastig maakt om binnen te dringen met een goede organisatie van jouw IT. Daarbij staat één vraag centraal: wie mag waarbij?
Toegangscontrole
Stel je eens voor dat je een cybercrimineel bent. Via phishing heb je het wachtwoord van een medewerker bemachtigd. Nu log je in om te kijken wat er in het bedrijf te halen valt.
Dat valt vies tegen! Want de medewerker blijkt zeer beperkte rechten te hebben. De meest ‘interessante’ delen van het bedrijfsnetwerk zijn voor deze medewerker– en dus voor jou – ontoegankelijk. Denk bijvoorbeeld aan de IT- of de financiële afdeling.
Deze goede afloop is mogelijk als er in het bedrijf duidelijke en strakke regels worden gehanteerd voor toegang. Hieronder gaan we kijken hoe je dat kunt regelen.
Netwerksegmentatie
De meest algemene vorm van toegangsbeheersing is netwerksegmentatie. Je deelt het bedrijfsnetwerk op in logische eenheden. Die worden van elkaar gescheiden, bijvoorbeeld met een firewall. Verkeer tussen segmenten is mogelijk, maar alleen wanneer dat noodzakelijk is. De firewall heeft daar regels voor.
Die regels gelden niet alleen voor PC’s en laptops, maar ook voor apparaten zoals printers en camera’s, om te voorkomen dat cybercriminelen langs die weg binnendringen.
Autorisatie
Ook op het niveau van individuele medewerkers kun je de toegang controleren. Dat heet autorisatie. Het basisprincipe is dat iedereen alleen datgene mag zien en doen op het netwerk, wat nodig is voor zijn werk.
Om een voorbeeld te geven: het is niet de bedoeling dat een gewone medewerker zelf software kan installeren op bedrijfshardware. Zo voorkom je dat een cybercrimineel met een gestolen wachtwoord ransomware installeert. En trouwens ook dat de medewerker dat zelf onbewust doet …
Evenmin hoeft een verkoopmedewerker toegang te hebben tot het netwerksegment van de financiële afdeling. Of dat van de IT-afdeling.
Het is van essentieel belang dat deze rechten goed worden bewaakt! Het gebeurt maar al te vaak dat iemand tijdelijk toegang krijgt tot een bepaalde server. Dan blijkt ‘tijdelijk’ al gauw permanent te worden, zonder dat daar nog reden voor is.
Het beste kun je de rechten koppelen aan profielen. Dan bepaal je dus wat iemand met een bepaald functieprofiel nodig heeft. Stapt de medewerker over naar een andere afdeling, dan vervallen de oude rechten en krijgt hij nieuwe.
Authenticatie
Autorisatie werkt alleen met een goede authenticatie. Ofwel: is dit inderdaad deze persoon? Van oudsher gaat dat met de combinatie gebruikersnaam/wachtwoord. Maar tegenwoordig zijn er zoveel verschillende systemen en applicaties die beveiligd moeten worden, dat gewone stervelingen al die wachtwoorden niet meer kunnen onthouden. Dan verschijnen dus de post-its op de beeldschermen. Of medewerkers gebruiken voor alles hetzelfde wachtwoord. Fijn voor een cybercrimineel die dat weet te achterhalen, maar niet voor jouw bedrijf.
Hoe kun je deze toestand voorkomen? Dat doe je met een centrale toegangscontrole, ofwel single sign-on (SSO). De medewerker logt ’s ochtends in en de rest van zijn werksessie zorgt het systeem dat hij automatisch toegang krijgt tot alle diensten waar hij rechten voor heeft.
Extra voordeel: die ene log-in kun je dan meteen zo veilig mogelijk maken. Een manier om dit te faciliteren is met MFA, ofwel multifactor-authenticatie. Dit betekent dat je om in te loggen iets moet weten én iets moet hebben. Bijvoorbeeld de eigen smartphone van de medewerker, met een app erop waar hij een wachtwoord moet invoeren. Zo wordt het cybercriminelen heel veel moeilijker gemaakt.
Bijkomend voordeel: mensen zullen hun telefoon niet zo snel uitlenen aan een collega. Want elk account mag natuurlijk alleen gebruikt worden door één persoon.
Toegangscontrole
Uiteraard zijn er altijd complicaties. Bedrijfsnetwerken worden namelijk steeds losser en gevarieerder. Denk bijvoorbeeld aan BYOD (Bring Your Own Device): daarbij gaat het niet alleen meer over smartphones, maar ook over laptops met verschillende besturingssystemen. Verder moeten netwerken steeds vaker toegang bieden aan gasten en leveranciers.
Dit vraagt om een goede toegangscontrole, of Network Access Control (NAC). Enkele basisregels:
- Alleen geautoriseerde apparaten hebben toegang tot het netwerk.
- Je kunt gasten toegang verstrekken, maar dat gebeurt niet zonder jouw medeweten.
- Netwerktoegang volgt het apparaat (ook als men het op een andere locatie gebruikt).
Ook hier bestaan er juridische verplichtingen voor een effectieve controle. Onder meer in de Wet Beveiliging Netwerk- en Informatiesystemen (Wbni) voor digitale dienstverleners en in de ISO-norm 27001.
Zero Trust
Met het segmenteren van netwerken, het beperken van rechten, het controleren van identiteiten en het voeren van toegangscontrole benaderen we een zero trust-omgeving. Zero trust netwerktoegang is een aanpak die is gebaseerd op ‘never trust, always verify’. Het is het cybersecurity-equivalent van ‘doe geen aannames’.
‘Zero Trust’ klinkt niet sympathiek, maar het is de beste manier om mensen tegen zichzelf te beschermen. Want niemand wil de oorzaak zijn van een ransomware-aanval.
De laatste bouwsteen
In deze blog en de twee voorafgaande hebben we belangrijke veiligheidsmaatregelen onder de loep genomen. Als je ze combineert, kunnen die maatregelen een behoorlijke mate van veiligheid realiseren.
Maar er blijft toch een beperking. Want ze zijn allemaal in de grond passief. En in sommige omgevingen kunnen strenge regels ten koste gaan van een goede bedrijfsvoering.
Daarom kijken we in de vierde en laatste blog hoe je actief kunt monitoren op jouw netwerk. Om de cybercriminelen zo vroeg mogelijk op te sporen. En uit te schakelen.
